enga;ar a la heuristica

Iniciado por kilodepala2, 24 Mayo 2016, 20:08 PM

0 Miembros y 1 Visitante están viendo este tema.

kilodepala2

que tal amigos, ayer por la tarde me encontraba muy al pedo y decidi ponerme  a programar. se me ocurrio algo simple para matar el rato y entretenerme, programe una especie de "molestador" xDd

lo que hace este programa, que esta camuflado como un supuesto programa para hacer "sql injection" xD, es, crear una copia de si mismo  en la carpeta de windows con el nombre de smss.exe, y crear keys en el registro para iniciar con el sistema

el "virus" es totalmente inofensivo. no realiza ningun tipo de conexión, no hace ningun tipo de da;o al so ni captura ninguna tecla. lo unico que hace es ejecutar un bucle infinito en el que espera 15 segundos y envia un MessageBox con un mensaje cargado al azar desde una matriz. por ejemplo: "Windows ha detectado problemas de disfuncion erectil de parte del usuario. Windows encargo pastillas azules por su cuenta. (Ya realizamos la transaccion con su tarjeta de credito)"

en definitiva el "virus" no sirve para nada, lo unico que tiene como objetivo es molestar al usuario con mensajes de este tipo.

pense, que al no abrir ningun puerto, ni realizar ninguna conexión, ningun antivirus se interpondria en el camino, pero me equivoque. esto es lo que dice virus total:

https://www.virustotal.com/es-ar/file/dce964af198ad73da02c745dd6df855538613c631a746fbe91d72348a30befd0/analysis/

19/56 detections.

la pregunta es, que podria realizar para evitar ser detectado por estos antivirus o por lo menos por la mayor parte de ellos?
he leido que podria usar un crypter para encriptarlo y hacerlo indetectable, aunque tambien he leido en otro lado que muchos antivirus detectan como virus a cualquier programa cifrado.

que cambios en el codigo podria realizar para enga;ar a la heuristica del antivirus?
se me ocurrio que si instalo varios archivos antes de registrar la key, y ademas de eso alojo el ejecutable en otra carpeta que no sea tan ovbia el antivirus podria no sospechar. estare en lo correcto?

he leido algo sobre inyeccion DLL... realizando este tipo de inyeccion, se volveria indetectable mi codigo?

ultima pregunta: elegi ponerle de nombre al proceso de mi programa "smss.exe" porque en windows xp hay un bug, como ese proceso es un proceso critico del sistema, no deja cerrar ningun proceso que tenga ese nombre, es decir no verifica las rutas. esto solo pasa en windows XP o tambien ocurre en versiones mas recientes de windows?

gracias